Español | English
rss facebook linkedin Twitter

Medidas de seguridad en ficheros no automatizados en la Administración Pública Española

Tras la entrada en vigor en 2008 del Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (en adelante RLOPD), se ha presentado como un aspecto importante, para el presente 2009 y 2010, la adecuación de la Administración Pública a los requerimientos relativos a las normas de seguridad de ficheros no automatizados que contentan datos de carácter personal.
Consideramos que la definición de las medidas de seguridad de este RLOPD aplicables a tratamientos de datos de ficheros no automatizados es uno de los retos más significativos para la Administración Pública en general. La gestión de información en formato documental (papel) tiene una connotación cultural y costumbrista que debe ser modificada para cumplir con los requerimientos legales de limitación del control de acceso a documentos impresos, establecimiento de áreas de almacenamiento seguro de archivos o políticas que implican mantener una política de mesas limpias de documentación.
Las normas y procedimientos de seguridad derivados de la gestión no automati
zada de información de carácter personal deben ser implantados en los plazos legalmente establecidos.

Plazo progresivo para la implantación de las medidas de seguridad de ficheros automatizados (FA) y ficheros no automatizados (FNA).




Del análisis de los requerimientos legales establecidos en el RLOPD que debe observar la Administración Pública en relación a las medidas de seguridad de sus ficheros no automatizados con datos de carácter personal, destacamos por su importancia los siguientes requerimientos:

Documento de Seguridad. Las modificaciones que introduce el RLOPD en este apartado son tres: la aplicación de la normativa de seguridad referente al tratamiento no automatizado de datos, la importancia de la identificación de datos de carácter personal realizados por encargados del tratamiento, y el establecimiento para determinados requerimientos de medidas alternativas de seguridad.
La posibilidad de establecer medidas de seguridad compensatorias posibilita la adecuación del RLOPD de organismos de la Administración Pública, con independencia de su tamaño u estructura interna. No obstante, estas alternativas deben ser analizadas con cautela, dado que toda medida compensatoria debe cumplir con el espíritu perseguido por el RLOPD, y ser detallada y motivada en el documento de seguridad.

Gestión de incidencias. Se establece la necesidad de definir un procedimiento de notificación y gestión de incidencias de seguridad de los datos de carácter personal en ficheros no automatizados.Control de acceso a ficheros no automatizados de datos. El RLOPD no dice nada en relación a la necesidad de establecer un registro automatizado de acceso a la documentación de nivel alto (Ej. Historia clínica en formato papel), aunque sí incluye la necesidad de identificar los accesos cuando dicha documentación puede ser utilizada por múltiples usuarios.
El gran reto de la Sanidad Pública será su capacidad de definir e implantar medidas de seguridad para sus ficheros no automatizados acorde con los requerimientos del RLOPD. Para hacernos una idea de la magnitud de este requerimiento, sólo tenemos que plantearnos el acceso como la mera visualización consciente de un documento, e intentar adivinar el número de historias clínicas en papel que se tratan habitualmente en la planta de enfermos de cualquier hospital.

Gestión de documentación. Indica medidas básicas de seguridad para la gestión de la documentación como son el inventario e identificación documental, así como el establecimiento de procedimientos para la destrucción segura de la documentación. En relación a la identificación de la documentación de nivel alto, el RLOPD señala que debe ser un método de identificación fácil de reconocer para el personal con acceso autorizado, pero complicado para terceros. Se echa de menos que el RLOPD no establezca unos parámetros más sencillos para los responsables del fichero. En este sentido consideramos que la catalogación clásica de documento público, confidencial y secreto, unido a una normativa de seguridad clara y eficaz, son considerados como suficientes para la identificación de la criticidad documental. Por otro lado, la normativa establece la necesidad de implantar medidas durante el traslado de cualquier documentación.

Criterio de archivo. El archivo de documentación deberá realizarse conforme a la legislación sectorial aplicable. En caso de no haberse desarrollado normativas específicas, el responsable del fichero será quién marque los procedimientos de actuación. En todo caso este archivo debe garantizar la localización, consulta y conservación de la documentación, así como posibilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

Dispositivos de almacenamiento y custodia de soportes. Los dispositivos de almacenamiento de documentos de nivel básico deben disponer de mecanismos que obstaculicen su apertura, mientras que en relación al almacenamiento de la documentación de nivel alto el RLOPD indica que estará ubicado en áreas de acceso restringido. Debemos entender estos dispositivos de almacenamiento aplicables al archivo central documental o a la situación habitual del documento una vez ha sido clasificado, en contraposición del tratamiento del documento cuando está en proceso de revisión o tramitación. En ese caso, la persona que se encuentre a su cargo será la responsable de garantizar su custodia.

Copias y reproducción. En este campo existe un requerimiento específico para documentos catalogados con un nivel alto de seguridad. Las copias sólo podrán ser realizadas y supervisadas por una persona autorizada. Por otra parte, se obliga a la destrucción de la reproducción, garantizando la imposibilidad de su recuperación. En relación a la necesidad de destruir el soporte documental, las medidas de seguridad deberían ser idénticas para copias y originales, ya que el objetivo es la protección de los datos personales del individuo y no del soporte en donde residen. Este apartado parece responder más a una reiteración cuantitativa de principios, que a la necesidad de establecer medidas de seguridad cualitativas.
Por otro lado, será necesario establecer los procedimientos que garanticen la destrucción del documento copia una vez ha dejado de ser útil. Y será aplicable la gestión de copias establecida en el RLOPD cuando se requiera generar una copia para entregar a un tercero legitimado. En este sentido, no se deberían marcar obligaciones más allá de la entrega autorizada de la documentación al solicitante de un duplicado, puesto que el responsable del fichero sólo podrá garantizar que lo entregó a la persona autorizada. Por ello, no podrá verificar si continuaron manteniéndose en su poder las medidas de seguridad descritas por el RLOPD.

En conclusión, el RLOPD desarrolla las medidas de seguridad para el tratamiento no automatizado de ficheros que contengan datos de carácter personal y, para su adecuación legal en la Administración Púbica Española en los plazos establecidos, se debería comenzar con la evaluación y análisis de la gestión documental diaria, para con posterioridad establecer los criterios organizativos y técnicos a adoptar.
Sería recomendable evolucionar de la tradicional gestión documental de la Administración Pública, identificando qué tratamientos y procesos basados en documentación en papel pueden ser suprimidos o modificados por documentos electrónicos, frente a aquellos otros que requieren necesariamente la gestión de la información en formato papel. En este sentido la Ley 11/2007, del 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, puede ser tomada como referencia y punto de partida para agilizar a la Administración Pública de la gestión documental innecesaria.
No obstante, la eliminación de información de carácter personal de los sistemas de archivo no automatizados, deberá tener en cuenta necesidades sectoriales, y tener como base una normativa de seguridad racional y práctica que ayude al usuario final a la securización del papel con la mínima interrupción de las actuaciones propias de la Administración Pública. Siendo la concienciación y formación del personal y su alineamiento con los objetivos de cumplimiento del Responsable del Fichero, un factor crítico de éxito en el cumplimiento de las medidas de seguridad de ficheros no automatizados establecidos en el RLOPD.

Montserrat Gómez Florez y Koldo Peciña
Consultoría S21sec

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login